'토르 네트워크' 익명성 무력화하는 악성코드 발견

[김국배기자] 익명성이 보장되는 것으로 알려진 '토르 네트워크' 이용자들의 신원을 확인할 수 있는 악성코드가 발견됐다.

토르 네트워크는 온라인 익명성을 보장하는 무료 소프트웨어다. 토르는 인터넷 트래픽을 3천 개 이상의 중계서버로 구성해 전세계 무료 네트워크를 거치게 함으로써 네트워크의 감시나 트래픽 분석, 사용자 위치 추적을 어렵게 만든다.

12일 시만텍은 파이어폭스의 취약점을 악용해 토르 네트워크 이용자들의 신원을 확인할 수 있는 악성코드가 발견됐다고 밝혔다.

토르의 익명성을 무력화하는 이번 악성코드는 미 사법당국이 세계 최대의 아동 포르노 판매업자에 대한 범죄인 인도를 모색한다는 언론 보도 후 발견됐다. FBI는 최근 토르 네트워크에 기반한 프리덤 호스팅(Freedom Hosting) 서비스의 창시자인 에릭 오웬 막스(Eric Eoin Marques)를 '지상 최대 아동 포르노 유통' 혐의로 체포한 바 있다.

특히 이번에 발견된 'Trojan.Malscript!html' 악성코드는 최근 결함을 수정한 '파이어폭스22'와 '파이어폭스 ESR 17.0.7'의 취약점을 사용했고 번들로 제공되는 토르 브라우저가 '파이어폭스 ESR-17'를 이용하고 있어 공격 도구로 활용된 것으로 추정되고 있다.

이 악성코드는 공격에 성공하면 감염된 컴퓨터의 네트워크 카드 고유의 맥 어드레스와 로컬 호스트 이름을 알아내 IP 65.222.202.54로 전송한다.

공격수법은 ▲감염된 서버에서 호스팅되는 웹사이트에 아이프레임(iframe)을 생성하는 악성 자바스크립트 추가 ▲자바스크립트 통해 감염된 컴퓨터에 고유 식별ID가 포함된 쿠키 저장 ▲아이프레임이 공격자의 서버로부터 HTML 파일 요청 ▲HTML 파일이 취약점을 악용해 악성활동 실행 ▲감염된 컴퓨터의 이름과 맥 어드레스를 공격자 서버로 전송의 단계로 이뤄진다.

시만텍코리아 윤광택 이사는 "토르 네트워크는 수 차례 암호화를 거쳐 구성된 익명 네트워크로 마약판매에서 인원운동까지 폭넓은 용도로 사용되고 있다"며 "익명성이 보장된다는 점 때문에 해커 등 사이버 범죄자들이 신분을 속이는 도구로 활용할 수 있는 만큼 사용과 접속시 각별한 주의가 요구된다"고 말했다.